Das deutsche QBasic- und FreeBASIC-Forum

[Sebastian]

Hallo,

für den Zugriff auf meinen Mailserver über einen verschlüsselten Tunnel habe ich seit einer Weile dank dreaels Unterstützung sshd auf Cygwin laufen. In letzter Zeit war der Server laut Ereignisprotokoll jedoch ständig Angriffen von IP-Adressen aus China und Rumänien ausgesetzt - bisher zum Glück erfolglos. Da ich nicht vorhabe, mich von China o.ä. aus zu meinem Server zu verbinden, würde ich gerne alle IP-Adressen aussperren außer einen bestimmten IP-Bereich (z.B. 123.123.123.* für den Zugriff von außen sowie 192.168.0.* für den Zugriff vom LAN aus). In der Routerkonfiguration (ZyXEL Prestige 324) habe ich keine entsprechende Einstellung gefunden. Daher denke ich, dass man in Cygwin irgendwie die ungewollten IP-Adressen für jegliche Verbindungen sperren müsste. Aber wie mache ich das?

Danke euch bereits im Voraus!
Sebastian
_________________

Die gefährlichsten Familienclans | Opas Leistung muss sich wieder lohnen - für 6 bis 10 Generationen!

[dreael]

Gerade auf einem 324er-Router bei mir in der Firma hineingeschaut: Die dortige integrierte Firewall arbeitet vergleichsweise recht primitiv und unterstützt keine Regeln wie "Allow 192.0.2.0/24 -> 10.180.33.2:80" d.h. wir wollen auf den Webserver in der DMZ nur Zugriff für 192.0.2.0-192.0.2.255 gewähren. Ich selber verwende fürs vertrauliche Netz übrigens eine Watchguard-Hardwarefirewall, die so etwas kann (und wird dort auch aktiv eingesetzt!). u.a. deswegen am Wohnort auch ein DSL mit fixer IP-Adresse.

=> Ich würde an dieser Stelle auf ein "grösseres" Produkt wechseln, z.B. ZyXEL ZyWALL, um von der Konfiguration her in der Hersteller-Familie bleiben zu können. Alternativ eignet sich aber natürlich auch Watchguard, SonicWall, Cisco PIX usw.

Falls das Budget dazu fehlt, wäre eine iptables-Linux-Firewall denkbar; dazu am besten http://www.fli4l.de/ näher anschauen; damit kann auch ein festplattenloses System dafür verwendet werden => nur noch passiv gekühltes PC-Netzteil und CPU mit niedrigem Takt und Passivkühlkörper, womit einer geräuschlosen und spromsparenden Lösung nichts im Weg steht. :-)
_________________
Teste die PC-Sicherheit mit www.sec-check.net

[Sebastian]

Hallo dreael,

danke für deine Antwort! Einen dritten Server für fli4l würde ich nur ungerne aufstellen, ich könnte die Software also höchstens in einer VM installieren. Ich dachte da aber auch eher an eine Art Blockade in cygwin, dass der Server die Annahme der Verbindung und den Logon verweigert, wenn der IP-Bereich nicht in Ordnung ist. Ich hab da was vom Schlagwort iptables gelesen? Natürlich ist das nicht so sicher wie eine echte Hardwarelösung, weil in dieser Softwareblockade ja auch Sicherheitslücken sein können, aber knapp 8000€ für sowas von Cisco sind mir doch ein bisschen viel.

Viele Grüße!
Sebastian
_________________

Die gefährlichsten Familienclans | Opas Leistung muss sich wieder lohnen - für 6 bis 10 Generationen!

[dreael]

Die bei mir eingesetzte Watchguard-Lösung ist übrigens ein typisches SOHO-Modell, kann aber das Gewünschte bereits. Mit einem Budget von umgerechnet 200-300 Euro ist man dort bereits dabei.

Alternative könnte sonst höchstens noch eine geeignete Personal Firewall für Deinen NT 4.0-Server sein.
_________________
Teste die PC-Sicherheit mit www.sec-check.net

[csde_rats]

Ähm, sorry wenn ich jetzt so dumm frage, aber müsste das nicht auch eine modifizierte Floppy-Firewall können?
_________________
If hilfreicher_Beitrag then klick(location.here)

Klick

[Michael712]

[Sebastian]

@csde_rats: fli4l hatte dreael mir schon vorgeschlagen und ich hatte schon geantwortet, dass das eher schwierig bei mir wäre, weil ich dafür einen dritten Server aufstellen müsste und mir das eigentlich zu viel ist. Danke aber trotzdem!
_________________

Die gefährlichsten Familienclans | Opas Leistung muss sich wieder lohnen - für 6 bis 10 Generationen!

[dreael]